免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Firefox-ESR 任意代码执行漏洞 (CVE-2024-29944)
一、漏洞描述:
Firefox 是一个由 Mozilla 公司开发的开源网络浏览器,它是目前最受欢迎和广泛使用的网络浏览器之一。
在 Firefox 124.0.1 之前版本和 Firefox ESR 115.9.1之前版本攻击者通过事件处理程序进行特权javascript执行,可能会使攻击者在Firefox桌面网络浏览器的父进程中执行任意代码。此漏洞仅影响桌面版 Firefox,不影响移动版 Firefox。
二、风险等级:
高危
三、影响范围:
Firefox < 124.0.1
Firefox-ESR < 115.9.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.mozilla.org
2 Firefox 越界访问漏洞(CVE-2024-29943)
一、漏洞描述:
Firefox 是一个由 Mozilla 公司开发的开源网络浏览器,它是目前最受欢迎和广泛使用的网络浏览器之一。
在Firefox 124.0.1之前版本中攻击者能够通过欺骗基于范围的边界检查消除来访问 JavaScript 对象的越界位置,可以在JavaScript对象上执行越界读取或写入。
二、风险等级:
高危
三、影响范围:
Firefox < 124.0.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.mozilla.org/en-US/firefox/124.0.1/releasenotes/
3 Tenda AC10 操作系统命令注入漏洞(CVE-2024-2853)
一、漏洞描述:
Tenda AC10是中国腾达(Tenda)公司的一款无线路由器。
Tenda AC10U 15.03.06.48 版本存在操作系统命令注入漏洞,该漏洞源于 /goform/setsambacfg 页面的 formSetSambaConf 方法中的usbName 参数存在操作系统命令注入。
二、风险等级:
高危
三、影响范围:
Tenda AC10U 15.03.06.48
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tendacn.com/download/detail-3170.html
4 CIGESv2 SQL注入漏洞(CVE-2024-2724)
一、漏洞描述:
CIGESv2是CIGESv2公司的一个队列和预约管理系统。CIGESv2存在SQL注入漏洞,该漏洞源于/ajaxServiciosAtencion.php的参数idServicio存在SQL注入漏洞。
二、风险等级:
高危
三、影响范围:
CIGESv2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://ciges.es/
|
发表于 2024-3-26 09:21